Круглый стол «Тренды в развитии SOC»

В рамках второго круглого стола проекта Global Digital Space и Cyber Media эксперты обсудили тренды в развитии SOC-центров: рост автоматизации, гибридные модели и интеграцию ИИ.

Специалисты поделились практическим опытом построения и работы центров мониторинга информационной безопасности. В обсуждении приняли участие:

• Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, «Лаборатория Касперского»;
• Константин Мушовец, директор USSC-SOC, УЦСБ;
• Лидия Виткова, начальник Аналитического центра Кибербезопасности Газинформсервис;
• Дмитрий Шулинин, руководитель SOC UserGate.

Эксперты рассказали порталу Cyber Media, как автоматизация меняет реагирование на угрозы, почему первая линия анализа остается незаменимой и какие вызовы ждут отрасль в условиях нехватки кадров и роста облачных решений.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube, Дзен.

Cyber Media: Новые тенденции и продукты в построении SOC-центров, что изменилось за последние годы?

Лидия Виткова, Газинформсервис: За последний год можно выделить несколько основных изменений. Главное, что происходит не столько внедрение абсолютно новых технологий, сколько улучшение и стабилизация уже существующих решений. Старые подходы и бизнес-процессы становятся более эффективными, к ним постепенно добавляются новые технологии, которые раньше были менее стабильными и зрелыми.

Одним из явных трендов является интеграция ассистентов и нейросетей в SOC-центры. Однако здесь важен не просто переход на новые технологии, а постепенное улучшение качества уже внедренных систем и функционала. В результате этого возникает стабильный рост возможностей SOC, а новые инновационные решения обеспечивают дополнительный прирост функциональности и гибкости.

Константин Мушовец, УЦСБ: За последние годы в области SOC и управления инцидентами информационной безопасности можно выделить несколько ключевых трендов:

1. Рост зрелости процессов управления инцидентами. У многих компаний уже появился опыт выстраивания процессов управления инцидентами информационной безопасности. Хотя он не всегда положительный, это способствует росту зрелости в подходах к информационной безопасности и работе с инцидентами, что в итоге улучшает уровень защиты.
2. Расширение кругов пользователей SOC. Растущий объем и сложность атак, а также успешность этих атак, приводят к тому, что теперь вопросы SOC касаются не только крупных корпоративных клиентов, но и среднего и малого бизнеса. Это является положительным трендом, поскольку расширяет использование SOC-решений на новые сегменты рынка.
3. Аутсорсинг в области информационной безопасности. В последние годы наблюдается тренд постепенного снижения недоверия к аутсорсингу в области информационной безопасности. Если раньше многие компании предпочитали строить свои внутренние SOC, то теперь, с учетом роста атак и нехватки кадров, все больше компаний обращаются за помощью к внешним интеграторам. Хотя успешные случаи с supply chain атаками несколько сдерживают этот процесс, доверие к аутсорсинговым компаниям постепенно растет.
4. Инструменты для мониторинга и реагирования. В части инструментов стоит отметить рост интереса к таким решениям, как ASM, DRP. Если раньше они воспринимались как дополнительные фишки для уже полностью построенной инфраструктуры, то теперь они стали практическими инструментами для мониторинга безопасности. Важными становятся вопросы отслеживания утечек учетных записей сотрудников, а также мониторинга в контексте darknet. В то же время классические инструменты, такие как SIEM, SOAR, EDR, XDR по-прежнему актуальны и широко используются.
5. Продолжение использования старых методов атак. Не изменился и подход к методам первичного доступа для злоумышленников. Такие инструменты, как эксплуатация уязвимостей, использование ВПО и социальная инженерия, продолжают оставаться эффективными. Это важно учитывать при формировании новых сервисов и услуг для SOC-центров.
   

Таким образом, текущие изменения в SOC-центрах не столько касаются появления новых технологий, сколько улучшения уже существующих процессов, а также адаптации решений к новым условиям и угрозам.

Дмитрий Шулинин, UserGate: Константин упомянул так называемый «джентльменский набор» инструментов, включая SIEM и SOAR, и я хотел бы выделить SOAR как важную тенденцию. Хотя сама система и концепция SOAR существуют уже давно, заметным изменением за последние годы является рост интереса к автоматизации процессов. Мы наблюдаем, что все больше компаний начинают активно внедрять автоматизацию на уровне отдельных продуктов.

Если несколько лет назад автоматизация чаще всего осуществлялась через скрипты, разбросанные по различным машинам, то сейчас компании все больше обращают внимание на централизованные решения, где разрабатываются пайплайны для автоматизации различных процессов. Это значительно повышает эффективность работы и ускоряет реагирование на инциденты в SOC-центрах.

Евгения Лагутина, «Лаборатория Касперского»: Сейчас появилась новая услуга по выстраиванию процессов SOC на аутсорсе. Раньше этим занимались исключительно интеграторы — конкретные специалисты, которые надолго встраивались в работу заказчика, разбирали все внутренние процессы и выстраивали кастомное решение под одного клиента. Сейчас такие подходы начинают масштабироваться и становятся доступными более широкому кругу организаций.

Это приводит к тому, что к продуктам, используемым в SOC, начали предъявляться дополнительные требования. Недостаточно просто иметь SIEM и набор автоматизаций — теперь важно, чтобы все это было удобным, понятным и легко масштабируемым. Пользователи ждут более дружелюбных интерфейсов и простоты в управлении, а не сложных, перегруженных платформ.

Cyber Media: Внешний SOC — что хотят заказчики и какие тренды видят провайдеры?

Евгения Лагутина, «Лаборатория Касперского»: На практике запросы заказчиков на внешний SOC можно условно разделить на два типа — и это, можно сказать, две крайности на весах.

Первая категория — это компании, у которых практически нет своего видения, как должен работать SOC. Их основной запрос звучит так: «Сделайте все за нас, чтобы было просто, понятно, красиво и без лишних сложностей. Мы не хотим глубоко погружаться, просто обеспечьте нам результат».

С такими заказчиками провайдеру приходится брать на себя почти всю ответственность — от настройки до выстраивания процессов, ориентируясь при этом на простоту и прозрачность сервиса.

Вторая категория — это более зрелые компании, которые уже прошли какой-то путь, набили шишки и теперь понимают, чего им не хватает.

Они приходят за точечной экспертизой или поддержкой, осознавая, что с текущими ресурсами и командой не справляются с определенными задачами. И вот с ними работать бывает даже сложнее, потому что:

• у них уже выстроена своя инфраструктура и процессы;
• они точно знают, чего хотят;
• они ожидают, что внешний специалист встроится в их систему без разрушения уже налаженного.

Таким образом, внешний SOC становится не просто сервисом «под ключ», а гибким решением, которое должно адаптироваться под разные уровни зрелости и ожидания заказчиков.

Лидия Виткова, Газинформсервис: Сейчас все чаще заказчики приходят не за полноценным внешним SOC «под ключ», а за конкретными, специализированными услугами. Это важный тренд: внешние SOC-центры перестают быть только про мониторинг инцидентов — запросы все чаще касаются отдельных направлений, например:

• расследования конкретных инцидентов;
• цифровой криминалистики;
• экспертной поддержки по SOAR или другим узким областям.

Что происходит на практике? Возникает инцидент: у заказчика не хватает своей экспертизы для глубокого расследования, и он привлекает аутсорсинговую команду. У этой команды свой регламент, подход и методы работы. Она выполняет расследование, предоставляет детальный отчет — это уже воспринимается как отдельная экспертная услуга.

Таким образом, SOC все больше превращается в центр компетенций по информационной безопасности, а не просто в круглосуточную службу реагирования.

Отношение тоже поменялось: если раньше внешний SOC воспринимался как что-то далекое и «за ледяной стеной», то теперь его видят как источник профессиональной помощи, где можно получить доступ к дорогим, но высококвалифицированным специалистам для критических задач, при этом рутинные процессы можно оставить первой линии поддержки.

Кроме того, развивается подход с использованием готовых SOAR-решений, плейбуков и сценариев реагирования. Это позволяет заказчикам не изобретать все с нуля, а взять уже работающие регламенты и процессы. SOC здесь становится еще и источником практической методологии: «Как обрабатывать инциденты? Какой следующий шаг? Какой плейбук применить?».

В идеале со временем должна сформироваться экосистема экспертизы, выходящая за рамки отдельных SOC-центров — своего рода комьюнити, в котором опыт и лучшие практики будут становиться доступными не только внутри одной компании.

Константин Мушовец, УЦСБ: Многие компании сегодня уже имеют опыт построения собственного SOC — пусть не полного, но хотя бы базового. Они, например, развернули SIEM, наняли специалистов, обучили аналитиков, начали сопровождать процессы реагирования. Это шаг в сторону гибридной модели SOC, и таких организаций становится все больше.

Но даже при наличии собственной инфраструктуры у компаний остается нехватка узкопрофильной экспертизы, которую невыгодно или сложно развивать внутри. Один из ярких примеров — форензика. Это сложное и дорогое направление:

• требуется дорогостоящее оборудование и ПО;
• нужны специалисты с узкой квалификацией;
• необходима постоянная поддержка и обучение.

Поэтому аутсорсинг экспертных компетенций становится естественным решением. Организации не строят все с нуля, а привлекают внешних специалистов точечно — под конкретные задачи.

Есть еще один важный момент: заказчики сегодня ценят не столько скорость реакции, сколько глубину погружения в инциденты. Они хотят, чтобы провайдер понимал их инфраструктуру, знал «болячки», умел работать с нестандартными ситуациями — словно «семейный доктор». И это зачастую идет вразрез с трендом на унификацию и автоматизацию, но именно индивидуальный подход и доверие становятся конкурентным преимуществом провайдера.

Однако здесь важно удержать баланс между персонализацией и стоимостью: нельзя превращать SOC в «элитного доктора», слишком дорогого для клиента. Это скорее инвестиции самого провайдера в долгосрочные отношения и репутацию.

Отдельная проблема — кадровый вопрос внутри компании. Даже если удалось найти аналитиков, их нужно удерживать, мотивировать, развивать. Это требует не только работы HR, но и поиска харизматичного, опытного тимлида, который будет удерживать команду, создавать культуру, вовлекать людей — таких специалистов тоже очень непросто найти.

Все это приводит к следующему тренду: внешний SOC не просто «поставщик услуг», а стратегический партнер, который помогает закрывать именно те участки, которые сложно или нецелесообразно развивать внутри компании.

Cyber Media: Как сейчас распределяются модели использования SOC? Что преобладает — гибридные модели или полностью внешний SOC?

Константин Мушовец, УЦСБ: На рынке сегодня действительно наблюдается тренд в сторону гибридных моделей, особенно среди крупных компаний и холдингов. У многих из них уже есть собственные SOC, но они осознанно отдают отдельные функции на аутсорс — например, форензику или сложный анализ инцидентов. Это позволяет разгрузить внутренние команды и не тратить ресурсы на редкие, но ресурсоемкие задачи.

Однако полностью внешний SOC тоже востребован, особенно в сегменте малого и среднего бизнеса (SMB). Даже IT-компании, казалось бы, близкие к ИБ по своей сути, часто предпочитают полностью внешний SOC. Причина в том, что у них нет ресурсов или желания глубоко погружаться в процессы информационной безопасности, несмотря на понимание ее важности.

Часто компании начинают именно с внешнего SOC — это хороший старт, чтобы выстроить процессы, понять, как все устроено, поработать с инструментами. Со временем они могут «забрать» часть функций внутрь, например, начать пилотировать SIEM.

Поставщики SOC-услуг тоже адаптируются к этой модели — помогают заказчику выстроить внутренний SOC, передают экспертизу, сопровождают процессы. Это создает доверительные отношения и часто приводит к расширению сотрудничества.

Лидия Виткова, Газинформсервис: Если речь идет о крупных инфраструктурах, то чаще всего компании идут по пути постепенного построения внутреннего SOC. Это длительный и трудозатратный процесс — иногда он занимает до 2,5 лет. Поэтому многие обращаются к интеграторам, как к экспертам, которые сопровождают этот путь: помогают выстроить архитектуру, подобрать и обучить кадры, нанять тимлида, наладить процессы.

Тогда используется гибридная модель — заказчик строит внутренний SOC, а на переходный период или на отдельные функции, например, мониторинг, реагирование, форензика, подключает внешний SOC. Это позволяет сразу начать получать пользу от SOC-услуг, пока внутренний центр только формируется.

Мы в своей практике воспринимаем такие проекты не как издержки, а как инвестицию в экспертизу. Для нас это возможность прокачивать свои компетенции, поэтому даже самые сложные задачи — это не «баг», а «фича».

Cyber Media: Расскажите, с какими необычными или нестандартными ситуациями вы сталкивались при реализации SOC-проектов?

Константин Мушовец, УЦСБ: Да, интересных кейсов действительно много, особенно когда речь идет о гибридных SOC-моделях. Причем само понятие «гибридный SOC» трактуется по-разному — у каждого своя интерпретация, но вариантов реализации действительно много.

Например, один из кейсов — инфраструктура полностью находится на стороне заказчика. Это касается не только SIEM и SOAR, но и всех сопутствующих компонентов. Заказчик в этом случае настаивает, чтобы никакие данные не покидали его периметр. Соответственно, вся работа происходит внутри его инфраструктуры, и мы просто подключаемся к ней.

Если говорить о самом понятии гибридного SOC, то я бы сформулировал его так: это модель с четким распределением обязанностей и полномочий между заказчиком и внешним исполнителем. В рамках процесса управления инцидентами, например, каждая сторона берет на себя определенную зону ответственности. И таких сценариев много.

Один из типичных примеров — когда у заказчика есть свой SIEM, но он не до конца реализован. Т. е., SIEM есть, к нему что-то подключено, но набор правил базовый, не адаптирован под конкретную инфраструктуру, и, по сути, в нем мало что работает. Это частая история: вроде бы SIEM купили, но его потенциал не используется.

Еще один интересный случай — у заказчика есть внутренняя команда SOC, работающая пять дней в неделю по восемь часов в день. С точки зрения кибербезопасности — это скорее формальность, потому что инциденты случаются круглосуточно.

В таких ситуациях заказчики часто привлекают внешний SOC только для ночного мониторинга, выходных и праздничных дней. Конечно, это требует сложной настройки взаимодействия и координации, но такая схема тоже работает и встречается на практике.

Дмитрий Шулинин, UserGate: Да, такие ситуации действительно бывают, и это как раз пример гибридной модели SOC.

У нас был случай, когда компания обратилась с просьбой помочь: у них уже был установлен SIEM, но заниматься им было просто некому. Им нужно было, чтобы внешняя команда пришла, разобралась в источниках, написала правила корреляции, наладила процесс анализа и далее следила за всей системой и развивала ее.

По сути, в такой модели заказчик предоставляет инфраструктуру, а исполнители берут на себя все операционные задачи. Это, на мой взгляд, и есть один из вариантов гибридного SOC.

Евгения Лагутина, «Лаборатория Касперского»: Интересный момент — иногда говорят о гибридном SOC, но по факту он может и не существовать в привычном понимании. Например, мы сталкивались с ситуациями, где все действия по расследованию инцидентов выполняются исключительно силами заказчика.

Даже если внешняя команда подключается, она не имеет доступа к инфраструктуре — то есть не может ничего изменить или напрямую вмешиваться в систему. Получается, что никакого полноценного гибридного взаимодействия нет: заказчик просто не допускает внешних специалистов к своей IT-инфраструктуре.

Лидия Виткова, Газинформсервис: Бывают редкие случаи, особенно в малом бизнесе, когда грань между аутсорсингом SOC и полноценным аутсорсингом всей IT-инфраструктуры практически стирается.

В таких проектах внешний подрядчик подключается ко всему — не только к системам мониторинга, но и к администрированию, управлению инфраструктурой и т. д. Это уже выходит за рамки классического SOC и ближе к полному IT-аутсорсингу.

Такие кейсы пока встречаются редко, но я думаю, что в будущем эта модель будет развиваться — правда, вряд ли это произойдет уже в 2025 году. Все-таки массовый переход на такой формат требует времени.

Cyber Media: Сейчас практически в каждом продукте, от SIEM до SOAR, заявляется использование нейросетей. В прошлом году на конференциях много говорилось о том, как их применяют в SOC-центрах. А по вашему опыту — есть ли уже реальные примеры, когда нейросети действительно работают на практике и приносят ощутимую пользу в обеспечении безопасности? Или это пока больше экспериментальные разработки, которые еще не дошли до боевого применения?

Евгения Лагутина, «Лаборатория Касперского»: Попытки внедрить ИИ в информационную безопасность предпринимаются уже довольно давно. Ещё 20 лет «Лаборатория Касперского» начала полноценно применять технологии машинного обучения для обработки информации и помощи клиентам в оптимизации ИБ-процессов.

Но технологии развиваются, запросы рынка меняются. Когда мы спрашиваем у специалистов, чего им не хватает, чаще всего речь идет не о новых источниках информации, а именно о помощи в расследовании — о подсказках, приоритизации, навигации в потоке инцидентов. Многие хотят, чтобы в нужный момент появился «кто-то умный» и подсказал, что делать.

Особенно это важно на фоне нехватки квалифицированных кадров. Новички, которые приходят в профессию, часто не хотят глубоко разбираться — у них поверхностный подход. А с такими людьми нужно как-то работать, обучать, поддерживать. И в этом плане ИИ действительно помогает — как ассистент, как наставник, как инструмент приоритизации, в том числе для опытных аналитиков.

ИИ уже начинает работать на практике. Не в виде магической коробки, которая все решает, а в виде полезного инструмента, который помогает аналитикам делать свою работу лучше и быстрее.

Дмитрий Шулинин, UserGate: Да, могу привести пару реальных кейсов, которые мне известны и уже используются на практике.

Первый, как уже сказала Евгения, это так называемые «советники» для аналитиков. Например, нейросеть помогает расшифровывать сложные команды или скрипты, особенно когда речь идет о PowerShell. Допустим, аналитик получает длинную команду с кучей аргументов и не может сразу понять, что именно она делает. В таком случае ИИ может подсказать: «эта команда запускает такой-то файл, делает то-то и то-то». Это действительно рабочий концепт, который уже применяется в некоторых организациях.

Второй кейс, который сейчас активно тестируется — это анализ потока логов на наличие подозрительных событий. Это направление не новое, многие с ним экспериментируют, и результаты бывают разными. Но потенциал у такого подхода большой.

Важно помнить: советник — это хорошо, но он должен советовать корректно. Потому что часто возникает соблазн думать: «Раз это ИИ, значит, он умный, значит, можно ему доверять». А это не всегда так. На 100% полагаться на него, конечно, пока нельзя.

Да, нейросети уже начинают применяться в SOC-практике, и хотя многое еще находится на стадии тестирования, уже есть примеры, где они реально помогают.

Лидия Виткова, Газинформсервис: Сейчас нейросети и в целом искусственный интеллект действительно применяются в обеспечении безопасности — и не только в модных ассистентах, но и в более «классических» задачах.

Важно понимать, что ИИ — это не только языковые модели и нейросети, которые мы привыкли обсуждать сегодня. Это еще и классификация, кластеризация, анализ графов — и все это давно уже используется, например, в антивирусах, DLP-системах, UEBA и других аналитических решениях. Эти подходы себя зарекомендовали и активно применяются, пусть и не так громко представлены как, «языковые модели» в 2025-м.

Что касается современных языковых моделей, то есть и здесь практические кейсы. Один из интересных примеров — перевод и адаптация правил корреляции между разными системами SIEM. Допустим, есть набор правил Sigma Rules, и задача — переписать их на язык разметки XP. С помощью ИИ и хорошо продуманных prompt-запросов можно ускорить эту работу: загружаешь пачку правил, модель делает черновик перевода, а дальше уже человек дописывает и верифицирует. Это экономит время — мы сравнивали: если эксперт пишет правило вручную, это может занять от 45 минут до часа, а если работает с наработкой от LLM — время сокращается. Разница, конечно, не в разы, но 2–3% экономии на большом объеме уже имеют значение.

И здесь важное отличие от обычных конвертеров: они переводят правило за правилом, поштучно. А языковая модель может сразу обработать десятки, даже сотни правил, разложить их по задачам, подготовить черновики — и это встраивается в процесс Detection Engineering, где одни команды создают и запускают атаки, другие оборачивают их в скрипты, а третьи адаптируют правила.

Да, это пока это не полностью автоматизированный конвейер, где человек не нужен вовсе. Но это реальная, уже применяемая технология, которая ощутимо ускоряет работу и дает практическую ценность.

Разумеется, важно помнить, что LLM — это не безошибочный интеллект. Они могут «галлюцинировать», особенно если плохо сформулирован prompt. Но если запросы продуманы, и модель работает в связке с экспертом, то результат получается качественным и полезным.

Cyber Media: Человеческий фактор и тренды в обучении — как SOC-центры справляются с дефицитом кадров, и какие тренды существуют в обучении и повышении квалификации сотрудников?

Евгения Лагутина, «Лаборатория Касперского»: Вопрос дефицита кадров в SOC-центрах решается классическими, но действенными подходами. Это и стажировки, и онбординг-программы, и, конечно, взаимодействие с вузами. Компании активно выстраивают работу с учебными заведениями, формируют базу молодых специалистов, которых можно развивать внутри команды.

На моем собственном опыте — когда я училась, у нас были практические занятия в «Лаборатории Касперского». И у меня тогда возникло очень четкое желание: «Вот бы работать здесь, когда вырасту». Такие вещи действительно влияют на мотивацию — они помогают не просто попасть в профессию случайно, а осознанно стремиться в конкретную компанию.

По сути, речь идет не только о техническом обучении, но и о формировании привлекательного образа работодателя. Это уже часть имиджевой работы: когда компания становится мечтой студента, мотивация учиться и развиваться появляется сама собой.

У меня, кстати, немного особая ситуация: я набираю ребят себе в команду, и мне важно, чтобы они были не только технически грамотными, но и разговорчивыми, умеющими доносить мысли. У всех свои задачи, но в целом — обучение, практика, вовлечение в культуру компании и работа на узнаваемость бренда. Это и есть ключевые тренды в подготовке кадров для SOC.

Лидия Виткова, Газинформсервис: Сейчас один из главных трендов в подготовке кадров для SOC — это раннее вовлечение студентов в практику. Мы, например, в Петербурге активно работаем с вузами и начинаем взаимодействие уже с первого или второго курса. Это дает возможность не просто обучить базовым вещам, а постепенно готовить ребят под реальные задачи, которые им предстоит решать в SOC.

Если человек приходит к нам после 4 курса без опыта стажировок или практики — он, как правило, гораздо хуже встраивается в работу. Одного только университетского образования недостаточно, чтобы быть готовым к специфике SOC. Поэтому эффективнее всего, когда обучение встроено в рабочие процессы — через стажировки, работу с вузами и участие в проектах еще до окончания вуза.

Константин Мушовец, УЦСБ: Помимо классических стажировок и онбординга, мы делаем акцент на автоматизацию рутинных задач на первой линии. Это позволяет освободить аналитиков и переводить их на более сложные и интересные направления, что важно и для мотивации, и для удержания специалистов.

Второй важный тренд — построение индивидуальной траектории развития внутри SOC. Найти хорошего аналитика второй или третьей линии очень сложно, поэтому мы стараемся растить специалистов внутри команды. Работаем с HR, чтобы понять, в какую сторону человек хочет развиваться — в TI, форензику, написание правил и т. д. И уже под сильные стороны сотрудника подбираем профильные обучения, чтобы у специалиста был четкий карьерный путь и желание оставаться в компании.

Дмитрий Шулинин, UserGate: Когда встает вопрос подбора персонала, особенно на инженерные позиции — тех, кто настраивает и разворачивает системы, например, SIEM, а не занимается аналитикой и реагированием на инциденты — мы заметили интересный подход.

Раньше пытались искать именно инженеров ИБ, но столкнулись с нехваткой. В итоге начали брать системных администраторов — и это оказалось отличным решением. Они быстро адаптируются, у них уже есть нужная техническая база, а работа в ИБ вызывает у них интерес: вроде бы знакомое, но с другой стороны.

Так что еще один эффективный путь решения кадрового дефицита — это переквалификация IT-специалистов в инженеров ИБ.

Cyber Media: Константин упомянул, что иногда приходится буквально «выуживать клещами» у сотрудников их карьерные желания. А как вы относитесь к ситуации, когда человек искренне говорит, что ему комфортно на текущей позиции, и он не хочет развиваться дальше? Стоит ли в таком случае все же пытаться его подтолкнуть к росту или оставить в роли, где он себя чувствует хорошо?

Константин Мушовец, УЦСБ: Да, стоит мягко направлять человека к развитию, даже если он говорит, что ему комфортно на текущей позиции. Особенно если речь идет о молодых аналитиках первой линии — представителях поколения Z, зумеров.

У этого поколения есть свои особенности, и мы стараемся учитывать их в работе. У нас даже есть отдельная программа в HR, где особенности этого поколения накладываются на подход к сопровождению таких сотрудников. Это не хорошо и не плохо — просто у них есть как сильные стороны, так и определенные сложности, которые важно понимать и учитывать, чтобы им самим было комфортно.

Что касается карьерных желаний, которые порой приходится буквально «выуживать клещами», — это тоже связано с поколением. Молодые сотрудники часто просто не могут сразу определиться, чего хотят. И здесь важна роль наставника: чуть-чуть подтолкнуть, мягко направить. Обычно, когда человек находит свой путь, он сам начинает получать удовольствие от развития и движения вперед.

И важно сказать в защиту зумеров: у них очень много сильных сторон. Если задача им интересна, они способны с головой в нее погрузиться, работать сутками, не спать, добиваться классного результата — и при этом сами получают от этого кайф. У них действительно большой потенциал, и при правильной поддержке они могут найти и реализовать себя.

Лидия Виткова, Газинформсервис: С другой стороны, может быть, действительно, иногда попадаются такие единичные случаи, когда представитель поколения Z чувствует себя комфортно на текущей позиции, например, на уровне первого грейда.

Здесь важно понимать, что такие ситуации — не правило. Бывает, что человеку нравится именно «крутить гайки», и это его устраивает. Но важно уточнять это по косвенным признакам: если человек не проявляет амбиций на развитие, возможно, он ищет что-то стабильное. Например, если у него есть стабильный доход, регулярный рост зарплаты, и он не против таких условий, это тоже нормально.

Если же мы говорим о людях, которые выбирают путь администратора, то это, как правило, люди, ценящие стабильность и не стремятся к креативным задачам. Такой выбор, как правило, идеально подходит для задач инженерного характера, где важна именно стабильность, а не креативность. В отличие от аналитиков, которые часто более креативны, люди, выбирающие роль администратора, могут быть вполне удовлетворены своей ролью на долгосрочную перспективу.

Cyber Media: Как сейчас обстоят дела с первой линией автоматизации? Она все еще существует, или уже достаточно двух линий? Слышал разные концепции: две линии, две с половиной, и даже что первую линию полностью заменяет робот. Какая ситуация ближе к реальности на сегодняшний день?

Лидия Виткова, Газинформсервис: На сегодняшний день мы придерживаемся классической модели. Хотя уже используются современные инструменты, и люди, работающие на первой линии, получают большую поддержку в виде автоматизации и ИИ-помощников. Однако сама первая линия остается необходимой, поскольку это своего рода школа для будущих специалистов. Практиканты и новички должны пройти через первую линию, чтобы обрести необходимый опыт и базовое понимание ситуации, которое потом пригодится при расследовании инцидентов. Без этого невозможно стать хорошим специалистом.

Да, искусственный интеллект и системы поддержки принятия решений могут упростить работу первой линии. Однако они не могут заменить экспертное мнение. ИИ помогает ускорить процесс, например, сокращая время на поиск информации, но все равно требуется человеческое вмешательство для принятия окончательного решения.

Компетенции операторов первой линии значительно выросли за последние несколько лет. Например, те, кто начинал в небольших компаниях, набираются опыта и становятся экспертами, даже если работают в более мелких SOC. Это повышение квалификации наблюдается не только в отдельных компаниях, но и по всей стране. Для маленьких SOC операторы первой линии часто выполняют задачи второй и даже третьей линии, благодаря тому, что получают опыт работы в крупных SOC.

Кроме того, работа на первой линии — это работа под давлением. Операторы постоянно сталкиваются с большими нагрузками, и от их решений зависит многое. Этот стресс также способствует их профессиональному росту. В этом плане зумеры идеально подходит для таких задач, так как они более адаптивны, и могут справляться с высокой нагрузкой и стрессовыми ситуациями.

Константин Мушовец, УЦСБ: Действительно, в СМИ и различных докладах часто можно услышать, что первая линия умерла, и что она больше не нужна. Но это совершенно не так. Я уверен, что первая линия по-прежнему крайне важна. В будущем, возможно, ее роль немного изменится, и часть работы будет автоматизирована, но в настоящее время без первой линии работа SOC невозможна.

Первая линия — это, по сути, лицо SOC, которое взаимодействует с заказчиком, предоставляет рекомендации и адаптирует их под конкретные потребности. Эти специалисты являются важной частью работы SOC и демонстрируют уровень экспертизы организации. Это особенно важно для коммерческих SOC, где первая линия играет ключевую роль в обслуживании клиентов.

Если говорить о внутреннем SOC, ситуация отличается. В таких структурах аналитики часто выполняют функции сразу нескольких линий — первой, второй и даже третьей. Они работают с инцидентами от начала до конца, что делает рабочий процесс немного другим. Внутренний SOC обслуживает меньше инцидентов, и количество аналитиков там тоже меньше, что позволяет несколько изменить workflow по сравнению с коммерческими SOC.

Дмитрий Шулинин, UserGate: В нашем случае первая линия по-прежнему существует, но ситуация изменилась. Раньше на вторую линию переходило множество запросов с первой линии, сейчас их стало гораздо меньше. И компетенция спецов первой линии значительно возросла, что позволяет им обрабатывать больше инцидентов самостоятельно. Это позволяет высвободить больше ресурсов второй линии для других задач. Первая линия все еще нужна, хотя она и начала сливаться вместе со второй.

Cyber Media: Безопасность облачных технологий — какие особенности работы SOC в условиях использования облачных сервисов и как они влияют на архитектуру центров безопасности?

Лидия Виткова, Газинформсервис: Переход в облачные технологии в России идет медленно. Многие компании начинают использовать облачные сервисы для хранения документов и данных, но крупные заказчики по-прежнему часто предпочитают решения On-premise. В области информационной безопасности облачные сервисы внедряются постепенно, и хотя они начинают появляться, для критической инфраструктуры облачные решения пока не являются идеальными.

Для более успешного перехода в облака нужно корректировать требования к средствам защиты информации, что, возможно, требует работы регуляторов. Важно также отметить, что для объектов критической инфраструктуры часто нет возможности работать в удаленной облачной среде.

Кроме того, несмотря на то, что облачные технологии хорошо подходят для определенных сервисов, например, TI, ISM, для более масштабных решений остаются вопросы, связанные с безопасностью и распределением ответственности. Проблема заключается в том, что не все облачные провайдеры четко декларируют свои зоны ответственности. Это усложняет расследование инцидентов и определение виновных.

Константин Мушовец, УЦСБ: Да, в нашей практике есть инфраструктуры, развернутые в облаках, которые мы также ставим на мониторинг. Это не представляет особых сложностей. Однако иногда возникают проблемы со сбором событий из облачных сервисов. Некоторые облачные провайдеры ограничивают доступ к данным событиям или предоставляют их в ограниченном формате. Особенно это касается облаков, где используются микросервисы — собрать события из таких систем бывает сложнее.

Но для решения этих проблем существуют технические инструменты. Например, продукты как Falcon и Vector, которые устанавливаются как дополнительные средства для сбора логов. Эти решения позволяют собирать события и проводить корреляцию данных, что позволяет не просто получать события, но и идентифицировать инциденты.

Таким образом, мониторинг облачных инфраструктур вполне возможен и решаем, но требует определенных технических решений для корректной работы.

Дмитрий Шулинин, UserGate: Как упомянул Константин, и Лидия тоже затрагивала тему сбора событий из облака, важно, чтобы облако предоставляло глубокие возможности для аудита. Если облако может отдавать не только базовую информацию о подключении и отключении пользователей, но и более детализированные данные, такие как события с виртуальными машинами, их создание, остановку и другие действия, это значительно улучшает работу SOC. Чем больше информации облако может предоставить, тем больше SOC сможет анализировать и точнее определить, где именно произошла проблема.

Евгения Лагутина, «Лаборатория Касперского»: С технической точки зрения, если рассматривать переход в облако, можно привести пример с крупным заказчиком, у которого есть дочерняя компания, предоставляющая облачные сервисы. Для них это фактически облако, где есть головная структура, и они получают и обрабатывают различные данные. Это уже можно считать началом перехода в облачные технологии. В дальнейшем, при полном переходе, важно будет учитывать масштабируемость, легкость развертывания и отказоустойчивость — эти требования постепенно вырисовываются.

Однако, как мне кажется, менталитет и текущая практика могут замедлить этот процесс в России. У нас существует практика разделения на подключение и выход, а многие заказчики не готовы делиться данными, даже в случае с точечными подключениями. Это остается проблемой, и не все пока готовы передавать свои данные в облако, особенно если это касается важных сервисов.

Cyber Media: Будущее SOC, какие инновации на горизонте?

Дмитрий Шулинин, UserGate: Я думаю, что в первую очередь на горизонте — это технологии машинного обучения и нейросети, но с немного другим подходом. Например, это может быть использование ассистентов для выполнения задач, которые раньше требовали больше усилий и времени. Речь идет о таких задачах, как переписывание правил или формирование набора экспертизы на основе выходных данных, например, ландшафта угроз.

Это уже не новая задача, потому что, например, программисты давно используют такие инструменты, как нейросети, для автоматической генерации кода. Аналогичным образом, в области безопасности можно использовать нейросети для формирования конфигураций для настройки сборщиков данных с разных источников. Это схоже с тем, как разработчики просят нейросеть написать сегмент кода.

Однако, если рассматривать этот процесс глубже, стоит добавить элемент контроля. Например, в задачах, связанных с анализом логов, можно представить третью сторону, которая заранее закладывает гарантированно неверный ответ в результаты работы нейросети. Эта информация, о неверном ответе, известна только третьей стороне, которая может контролировать, как аналитики SOC используют результаты работы нейросети в ходе анализа потока логов, не полагаются ли они на нее полностью, ослабив свой контроль.

В целом, будущее SOC будет связано с развитием таких технологий, как нейросети и машинное обучение, которые смогут не только автоматизировать процессы, но и повышать их точность и эффективность.

Лидия Виткова, Газинформсервис: Будущее SOC будет связано с развитием и внедрением новых технологий, в частности, искусственного интеллекта и автоматизации. Однако это не означает, что роль человеческого участия в процессе безопасности будет исключена. Наоборот, важно будет сочетание машинного интеллекта с опытом и критическим мышлением специалистов.

Одной из ключевых проблем является верификация информации и решение вопроса о том, как правильно доверять решениям, предложенным искусственным интеллектом. Это особенно важно в условиях, когда различные уровни квалификации сотрудников SOC могут влиять на восприятие и интерпретацию событий безопасности. Исследования показывают, что возраст и опыт могут влиять на доверие к решениям ИИ. Это требует дополнительных шагов по верификации.

Внедрение ИИ-ассистентов в SOC может значительно улучшить процессы принятия решений, однако важно избежать ситуаций, когда отсутствие человеческой проверки приведет к ошибкам. Например, система может неверно интерпретировать события или атаки, что приведет к ошибочной реакции. Поэтому важно, чтобы специалисты SOC сохраняли критическое мышление и не полагались исключительно на технологии.

Кроме того, в ближайшие годы можно ожидать появление платформ знаний в области безопасности, которые будут интегрированы с ИИ. Эти платформы будут использовать информацию из различных источников и помогать специалистам SOC ориентироваться в сложных ситуациях. Также важно отметить рост интереса к продуктам, которые тестируют инфраструктуру и поверхность атак, и их интеграция в SOC.

Одной из тенденций является развитие законодательства и этических стандартов в области искусственного интеллекта. Ожидается, что появятся кодексы этики для ИИ и новые инструменты защиты, которые будут мониторить его поведение. Это поможет предотвратить возможные злоупотребления и инциденты безопасности.

Кроме того, мы видим растущий интерес к автоматизированным инструментам, которые могут снизить стоимость и повысить эффективность тестирования безопасности, включая интеграцию с SOC и использование данных для предотвращения атак. В частности, появляются решения, которые могут быть использованы для аудита и тестирования безопасности, что особенно важно в контексте страхования рисков информационной безопасности.

Будущее SOC будет связано с развитием новых технологий и подходов, но основным элементом остается сочетание технологий и экспертного подхода для обеспечения надежности и безопасности.

Константин Мушовец, УЦСБ: В будущем инструменты для защиты будут становиться все более специализированными, что связано с ростом задач безопасности и зрелостью заказчиков. Ранее было распространено подходить к решению всех задач безопасности одновременно, однако сейчас становится ясно, что это невозможно. Вместо этого нужно решать конкретные задачи, такие как защита критичных информационных систем или защита периметра от постоянных атак.

Инструменты будут развиваться в сторону более узкой квалификации, ориентированной на решение специфических задач. Одновременно с этим будет расти экосистемность решений — вендоры и интеграторы будут предлагать комплексные сервисы для решения частных задач. Например, анти-DDoS-сервис, интегрирующийся с классическим SOC, может не только предотвратить DDoS-атаку, но и отправить данные аналитикам, которые обнаружат, что атака является отвлекающим маневром для APT-группировки.

Автоматизация также будет важным трендом. Снижение трудозатрат и повышение доступности сервисов безопасности для заказчиков будет способствовать снижению стоимости и расширению возможности аутсорсинга функций безопасности. Интеграция различных сервисов станет важной частью этого процесса, так как компании будут избегать зависимости от одного вендора, чтобы избежать рисков при сбоях в его решениях.

Кроме того, ожидается появление более специализированных продуктов, таких как Application Detection Response (ADR), которые будут работать на уровне приложений, а не на уровне хостов. Появление таких решений связано с растущими потребностями в защите приложений, а не всего комплекса инфраструктуры. Это поможет заказчикам решать конкретные проблемы, не покупая дорогостоящие универсальные решения, а ориентируясь на продукты, которые интегрируются с другими сервисами и подходят для решения узких задач.

В будущем компании будут стремиться к более гибким и интегрированным подходам, что сделает безопасность более доступной и эффективной.

Хотелось бы пожелать компаниям, если кто-то еще не занялся вопросами управления инцидентами информационной безопасности, обязательно обратить внимание на эту проблему. Объем атак и их сложность продолжают расти. Если у компании возникают трудности с решением этих вопросов собственными силами, на рынке есть много специалистов, которые могут помочь, предоставить консультации и предложить поддержку.

Евгения Лагутина, «Лаборатория Касперского»: Мне кажется, немного нелогичным выглядит тезис о сужении функционала продуктов, когда они будут решать только одну конкретную задачу, а за экосистемность будет отвечать сервисная часть. На самом деле, я не думаю, что этого стоит ожидать, и, скорее всего, так и не произойдет. Напротив, я вижу тенденцию к запросу на более универсальные продукты и решения, тот же XDR – платформу решений. Мы говорим: «У нас есть какой-то продукт, а давайте он будет делать еще вот это и вот это». Нам не важно, будет ли это называться отдельным продуктом или еще как-то. Главное, чтобы функционал был.

В таком контексте экосистемность скорее заключается не в том, как сервисы друг с другом взаимодействуют, а как модули продуктов работают друг с другом. Здесь существует риск уйти в так называемую моновендорность, в эти самые «комбайны», когда все функции собраны в одном продукте. Это, конечно, не идеальный путь, и тут важно работать над уникальными интеграциями между продуктами.

Важно развивать уникальные интеграции, а не сужать функционал, например, с идеей, что SIEM больше не будет реагировать на крипты. Это, наверное, не самый правильный путь.